Botnet.

Un botnet est un ensemble d'endpoints compromis — PC, serveurs, routeurs, objets IoT — qui se reconnectent à un ou plusieurs serveurs de commande et contrôle (C2) et exécutent les ordres de l'opérateur du botnet (le « botmaster »). Les botnets sont utilisés pour des attaques DDoS, du spam, du credential stuffing, de la fraude au clic, du minage de cryptomonnaies, de la distribution de malware et comme réseaux proxy pour d'autres intrusions. Ils peuvent recourir à un C2 centralisé, du peer-to-peer ou du DNS fast-flux pour résister aux démantèlements.

L'échelle est leur trait caractéristique. Le botnet Mirai (2016) a recruté des centaines de milliers de caméras et de routeurs IoT à l'aide d'une liste d'identifiants par défaut, puis a dirigé environ 1 Tbps de trafic vers le fournisseur DNS Dyn, mettant hors ligne Twitter, Reddit et Spotify. Le botnet de proxys résidentiels « 911 S5 » — démantelé par le FBI et ses partenaires internationaux en mai 2024 avec l'arrestation de l'administrateur YunHe Wang — avait infecté près de 19 millions d'adresses IP dans presque 200 pays, louant les appareils des victimes à des fraudeurs et causant des milliards de pertes. Des botnets bancaires comme Emotet et Qakbot ont été pareillement neutralisés par des opérations de sinkholing coordonnées par les forces de l'ordre.

flowchart TD
  M[Infection par malware<br/>identifiants par defaut / exploit / hameconnage] --> B1[Bot 1]
  M --> B2[Bot 2]
  M --> B3[Bot N]
  B1 --> C[Serveur C2 / P2P / fast-flux]
  B2 --> C
  B3 --> C
  C --> O[Le botmaster envoie des commandes]
  O --> A[DDoS / spam / proxy / minage]

Les défenses incluent l'hygiène des endpoints, la mise à jour des firmwares IoT, le blocage des C2 connus, le sinkholing, le filtrage sortant, la détection d'anomalies réseau et les opérations de démantèlement menées par les forces de l'ordre.